Download
1 / 86
880 likes | 1.12k Vues
SEGURIDAD Y FIRMA DIGITAL PLAN NACIONAL DE GOBIERNO ELECTRÓNICO Patricia Prandini pprandin@pki.gov.ar. Temario PNGE, Seguridad y Firma Digital Conceptos de Seguridad Informática Conceptos de Firma Digital Taller sobre Firma Digital Ejercitación sobre Seguridad Informática.
E N D
SEGURIDAD Y FIRMA DIGITAL PLAN NACIONAL DE GOBIERNO ELECTRÓNICO Patricia Prandini pprandin@pki.gov.ar
Temario • PNGE, Seguridad y Firma Digital • Conceptos de Seguridad Informática • Conceptos de Firma Digital • Taller sobre Firma Digital • Ejercitación sobre Seguridad Informática
Decreto Nº 378/2005 – Seguridad y FD Considerandos: • Digitalizar con validez legal la documentación pública • Permitir intercambio de información entre el Estado y los particulares mediante canales alternativos al papel • FD esencial para otorgar seguridad a las transacciones electrónicas, a través de la identificación fehaciente de las personas
Decreto Nº 378/2005 – Seguridad y FD Parte Resolutiva: Artículo 3º: Responsabilidad de Autoridades • e) Disponer las medidas necesarias para que las comunicaciones se efectúen preferentemente mediante tecnologías informáticas Artículo 6to: SGP definirá • a) La implementación de la Tramitación Electrónica de Expedientes, con la utilización de Firma Digital
Decreto Nº 378/2005 – Seguridad y FD Anexo: Artículo 2º: Principios Rectores • MEJOR GESTION PUBLICA: mejorar la calidad de los procedimientos y sistemas de información de cada organismo Artículo 3ro.: Instrumentos • TRAMITACION ELECTRONICA • DOCUMENTO ELECTRONICO
Decreto Nº 378/2005 – Seguridad y FD Anexo: Artículo 4º: SGP definirá y coordinará • c) EXPEDIENTE ELECTRONICO: Tramitación Electrónica de Expedientes para trámites internos del Estado Nacional, con Firma Digital. • d) POLITICAS DE SEGURIDAD • g) PORTAL DE AUTENTICACION: para la identificación de los habitantes, ciudadanos y usuarios que deban operar con el ESTADO.
Porqué es importante la seguridad • Estado como custodio de información de los ciudadanos • Estado como una única organización • Estado como principal receptor/emisor de información • Estado como usuario de TICs • Estado como proveedor de información y servicios esenciales
Porqué es importante la seguridad • Servicios del Estado deben estar disponibles • Necesidades de conservación y almacenamiento en el tiempo • Preservación de vidas humanas y del acervo histórico • Estado como blanco de incidentes
Qué necesitamos • Digitalizar con validez legal • Brindar servicios confiables • Garantizar disponibilidad de información y servicios • Gestionar en forma segura la información pública • Identificar a los ciudadanos y usuarios
¿Qué es la Información? “Denominación que comprende todo lo que una computadora puede almacenar o transmitir, es decir datos de E/S, archivos o programas.” Enciclopedia Univ.de Salamanca “Todo aquello que reduce la incertidumbre entre varias posibles alternativas” Teoría de Shannon
Seguridad de la Información INFORMACION = ACTIVO Ingeniería Social Man-in-the-middle Phishing Defacement Spoofing Backdoors Escaneo de puertos Catástrofe Trashing Código malicioso Robo y Fraude Etc. Confidencialidad Integridad Disponibilidad + Autenticidad Auditabilidad Protección a la duplicación No repudio Legalidad Confiabilidad de la información
Seguridad de la Información PROTECCIÓN DE LA • CONFIDENCIALIDAD, • INTEGRIDAD y • DISPONIBILIDAD DE LA INFORMACIÓN • IRAM/ISO 17799
CONFIDENCIALIDAD INFORMACIÓN ACCESIBLE EXCLUSIVAMENTE A LOS USUARIOS AUTORIZADOS ¿Cuáles serían las consecuencias si la información fuera expuesta sin autorización? Pérdidas económicas, quiebras, imagen del gobierno, daños a las personas, privacidad, etc.
INTEGRIDAD INFORMACIÓN SÓLO MODIFICADA POR PERSONAL AUTORIZADO (INCLUYENDO CREACIÓN Y BORRADO), SALVAGUARDANDO SU EXACTITUD Y TOTALIDAD ¿Qué ocurriría si se alteran datos y las decisiones se terminan tomando sobre información falsa? Pérdidas financieras, riesgo de vidas, inequidad, afectación del patrimonio, etc.
INFORMACIÓN Y RECURSOS UTILIZABLES CUANDO Y COMO LO REQUIERAN LOS USUARIOS AUTORIZADOS DISPONIBILIDAD Peligro para la vida humana, pérdidas en la productividad, desconfianza de clientes, cierre de servicios, etc. ¿Qué pasaría si se interrumpieran sistemas y servicios informáticos críticos?
¿Cuánto cuesta la seguridad si evaluamos las pérdidas potenciales?
Falsa percepción de la seguridad • Todas las fallas serán notorias en forma inmediata • Lo que hacemos no es importante… • Las personas saben qué hacer ante una emergencia • Es fácil conseguir elementos de reemplazo (insumos, calefacción, servidores, etc.) • Los ciudadanos y otros receptores de nuestros servicios van a entender…. • Los sistemas de alarma son infalibles • Con la UPS y el Firewall es suficiente • A nosotros no nos va a suceder….
Barreras para la seguridad • Es abstracta y compleja • Se vinculada a ocurrencias hipotéticas • Es un problema del negocio, no técnico • Implica inversión, reduce la performance y acarrea incomodidad • No existen indicadores y prácticas universales
Cómo se plantea la Seguridad • ¿Qué necesita ser protegido? ¿Por qué debe protegerse? ¿Qué ocurre si no se protege? • ¿Qué efecto adverso debe ser prevenido? ¿A qué precio? ¿Cuánto puede tolerarse sin tomar acción? • ¿Cómo se gestiona el riesgo? ¿Cuánto se invertirá en prevenir y cuánto en solucionar?
¿Qué hacer…? CONCIENTIZAR
Concientización ¿Qué conceptos deben quedar claros? El valor de La información 1 4 Las formas de mitigar dichos riesgos El significado de seguridad de la información 2 5 La responsabilidad compartida 3 Los riesgos a los que se enfrenta el Organismo en materia de seguridad de su información
¿Cómo enfrentar la resistencia? • Indagar sobre los motivos de la resistencia • Reducir incertidumbre e inseguridad • Proporcionar información clara sobre los objetivos del cambio y el plan de implementación • Ajustar el modo de implantación del cambio a las características del Organismo • Buscar el apoyo de figuras que fomenten la credibilidad • No imponer el cambio
¿Cómo enfrentar la resistencia? • Involucrar al personal en el cambio, hacerlos partícipes del mismo • Establecer el diálogo, intercambiar opiniones, aceptar sugerencias • Plantear soluciones para todos • Crear un compromiso común • Evaluar el costo-beneficio de cada cambio
Factores de éxito • No “reinventar la rueda” • Interactuar con los Auditores Internos y otros sectores del organismo • Asignar los recursos necesarios • Promover una comunicación eficaz con los participantes del proyecto
Factores de éxito • Contar con el apoyo de las Autoridades • Comenzar la concientización, de arriba hacia abajo • Gestionar la seguridad • Comprender el proceso • Desarrollar un Proyecto
Métodos de concientización Algunas técnicas Material publicado y follertería Demostración de código malicioso Consultas simples en Internet Resultados de un Análisis de Utilización de Correo Electrónico o Internet Cursos y presentaciones Enumeración de Riesgos y su Potencial Impacto Datos estadísticos
Seguridad: Cambio en la visión Fuente: CERT/CC
Decisión Administrativa – Iniciativa En base a un relevamiento se definió la necesidad de que los Organismos cuenten con políticas de seguridad para el resguardo de la información. Se redactó, en conjunto otros Organismos, un Modelo de Política de Seguridad, basado en ISO/IRAM 17799. El Modelo se ha aprobó el 03/08/2005 por Disposición ONTI Nº 06/05. Publicada en BO del 10 de agosto de 2005 Plazo de cumplimiento: Aprobada en cada organismo en 180 días hábiles (10/05/2006)
Decisión Administrativa 669/04 • Organismos de la APN deberán • Dictar o adecuar su Política de Seguridad de la Información conforme alModelo aprobado por la ONTI (Disposición ONTI Nª 06/2005, del 25/07/2005) • Conformar un Comité de Seguridad • Asignar las responsabilidades en materia de seguridad de la información • Se invita a adherir a los Gobiernos Provinciales y Municipales, a la CABA y a los Poderes Legislativo y Judicial de la Nación
Qué implica la DA 669/04 • El desarrollo de una Política de Seguridad en cada Organismo • La asignación de responsabilidades en materia de seguridad dentro del Organismo • La concientización sobre la criticidad de la seguridad de la información • El aumento del nivel de seguridad en los Organismos • El cumplimiento de normas y leyes vigentes • La generación de erogaciones adicionales • El requisito de certificar la norma ISO/IRAM 17799 • La necesidad de incorporar personal adicional SI NO
Políticas de Seguridad - SIGEN • En mayo del corriente la SIGEN aprueba las Normas de Control Interno para Tecnologías de Información (Res. 48/05), las cuales se apoyan en la DA 669/04 en lo referente a seguridad de la información. • “9.1. Se debe garantizar el cumplimiento de las normas establecidas en cuanto al deber de disponer de una política de seguridad de la información.”
POLITICA DE SEGURIDAD Marco general que define las pautas que deben cumplirse en materia de seguridad PARAMETROS PROCEDIMIENTOS NORMAS Conjunto de elementos técnicos a configurar en elementos informáticos. Serie de pasos detallados que describen cursos de acción a seguir. Definiciones concretas para aspectos contemplados en la Política de Seguridad Marco normativo en seguridad
Modelo de Política - Estructura • 3 Capítulos de Introducción • Introducción • Términos y definiciones • Política de Seguridad de la información • 9 Capítulos de Contenido de las distintas áreas • Organización de la Seguridad • Clasificación y control de Activos • Seguridad del Personal • Seguridad Física y Ambiental • Gestión de Comunicaciones y Operaciones • Control de Accesos • Desarrollo y Mantenimiento de Sistemas • Administración de la Continuidad de las Actividades del Organismo • Cumplimiento
Modelo de Política - Estructura Seguridad Organizativa Seguridad Lógica TACTICO Política de Seguridad Seguridad Física Organización de la Seguridad Seguridad Legal ESTRATEGICO Clasificación y Control de Activos Control de Accesos Cumplimiento OPERATIVO Seguridad Física Y Ambiental Seguridad del Personal Desarrollo y Mantenimiento de Sistemas Gestión de Comunicaciones y Operaciones Continuidad de las Actividades
Modelo de Política – Actores Comité de Seguridad de la Información Coordinador Responsable del Área Informática Propietario de la información Responsable de Seguridad Informática Responsable del Área Legal Unidad de Auditoría Interna Área de RRHH Usuarios
Modelo de Política - Estructura Generalidades Introducción sobre los tópicos tratados en el capítulo Objetivo Razón de ser del capítulo. Alcance Área de incumbencia que se ve afectada por las disposiciones establecidas en el capítulo. Responsabilidad Compendio de las responsabilidades de cada cargo con relación a las disposiciones establecidas en el capítulo. Política Desarrollo del capítulo.
ArCERT (Coordinación de Emergencias en Redes Teleinformáticas del Sector Público Argentina)
Miembro del FIRST desde 2004 Punto de Contacto ante la OEA Participación en Mercosur Sector Público CREADO MARCO LEGAL AMBITO REPRESENTATIVIDAD Características 1999 Resolución N° 81/1999 Disposición N° 01/1999
OBJETIVOS Características • Incrementar los niveles de seguridad informática del Sector Público • Promover cooperación entre organismos para prevención, detección y tratamiento de incidentes • Atender e investigar incidentes de Seguridad Informática • Interactuar con equiposde similar naturaleza o propósito • Representar en Foros Internacionales
Membresía voluntaria Procedimiento prestablecido Designación formal del representante Autenticación mediante certificados digitales personales Derecho a acceso a sitio privado y a recibir asistencia FORMA DE VINCULACIÓN Competencia
PREVENTIVAS Y CORRECTIVAS Acciones Actividades • Difusión de Información • Lista de Seguridad y Lecturas Recomendadas • Sitio Web Público • Capacitación y Concientización Destinados a técnicos y usuarios Participación en Seminarios, Charlas, etc. • Monitoreo de ocurrencia de incidentes y Asistencia para su tratamiento • Desarrollo de productos y servicios Firewall, Sistema de Monitoreo de Seguridad, Revisión de DNS, Sistema de sensores • Políticas de Seguridad de la Información
SERVICOS AL PUBLICO Acciones Actividades Sitio web Generación y difusión de Alertas Recomendaciones de material de lectura Participación en Seminarios y Conferencias
00100100101010100010100 01001010101000101110101 00101010101101000111100 11100000101010101010101 00100111001010101010101 Conceptos de Firma Digital
Situación actual • La tecnología permite otorgar seguridad a las transacciones electrónicas • Existe en nuestro país un marco normativo que habilita el empleo de mecanismos de seguridad
00100100101010100010100 01001010101000101110101 00101010101101000111100 11100000101010101010101 00100111001010101010101 • Funcionamiento del sistema
Criptografía Privada Privada Privada Pública Pública Clave Clave Criptografía Simétrica Criptografía Asimétrica
Criptografía Privada Privada Pública Pública Pública Clave Clave Criptografía Simétrica Criptografía Asimétrica
Criptografía p= 13069322402100655460372905860955471125556555722027918271400496820543230709995361923 026449726342667352298135532444657556071721709079499346407281185886210303 q= 11543291706304854991282053266556482345340381283249361938035635072123140767619879947 055794178155878831076988621881878883273530930538636731138191162287228337 Public Key: n= p*q = 15086300089119274131984091466854446446751437178443907045057674491932959261191279542 29034815151088196647574427605671372595058789251003353085350186857959250414436161702 03299241549726752965481817691505256855094549856968833483708744362754719215241945330 731 e= 5 PrivateKey: d= e-1 mod ((p-1)(q-1)) = 60345200356477096527936365867417785787005748713775628180230697967731837044765118169 16139260604352786590297710422685490380235157004013412341400747431837000673240082471 91155159579070501814113387178273006311257361683347763269349066990051396531992163328 742
